Mitten in der Dotcom-Krise im Jahr 2000 wurde in der Schweiz der Grundstein für die Entwicklung von E-Voting Systemen gelegt (https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20003190). Viele Jahre und Entwicklungsschritte später, im April 2018, leitete der Bundesrat Schritte ein, um E-Voting in einen regulären Stimmkanal zu überführen. Dieser Entscheid war ein Weckruf für Kritiker.
Verrücktes E-Voting
Sichere Hardware gibt es für uns nicht
Die Schweiz besitzt keine Fabriken, die halbwegs konkurrenzfähige Prozessoren produzieren könnten. Und wir werden diese Fähigkeit auch mit intensivsten Bemühungen auf Jahre hinaus nicht erlangen können. (Versuchen sollten wir es trotzdem. Falls jemand die Zeit dazu findet, wäre hier ein Gefäss für einen dürftigen Anfang: https://pads.ccc-ch.ch/p/forderung-open-hardware). Die Konsequenz aus dieser simplen Feststellung ist, dass wir keine sicheren Computer herstellen können.
Software ist lediglich ein Mittel, um Computer flexibel zu programmieren. Computerprogramme sind nicht zwingend auf Software angewiesen. So wurde der Flugcomputer des Apollo-Programms etwa in Hardware «gestrickt». Unabhängig davon, welche Software auf einer Hardware läuft; Die Hardware kann den Programmfluss der Software immer manipulieren. Und die Manipulation lässt sich fast beliebig gut verstecken, wenn man die zu manipulierende Software kennt. Erkennbar wäre manipulierte Hardware nur dann zuverlässig, wenn man sie Stück für Stück demontiert und mit den Bauplänen vergleicht. In der Praxis ist das bei modernen hoch-integrierten Chips kaum möglich, zumal wir weder detaillierte Pläne der Hardware besitzen noch das intellektuelle Kapital in ausreichender Menge, um solche Pläne auf Hintertüren zu untersuchen.
Neben der Möglichkeit, Hintertüren direkt in Computerchips einzubauen, gibt es auch flexiblere Methoden für Hardware-Hintertüren. Bekannt wurden durch eine Bloomberg-Story BMC-Backdoors (https://www.bloomberg.com/news/articles/2018-10-04/the-big-hack-inside-the-bag-of-tech-tricks-used-by-china-spies). Auch wenn die Geschichte so womöglich nicht stimmt, sind solche Hintertüren im technisch realistischen Rahmen (https://trmm.net/Modchips).
Sichere Software ist schwierig zu beschaffen
Software-Entwicklung ist komplex. Immer wieder werden Lücken auch in vermeintlich sicheren Komponenten entdeckt. Bekannt wurde etwa die «Heartbleed» genannte Schwachstelle in OpenSSL (https://en.wikipedia.org/wiki/Heartbleed). Diese Schwachstelle ist bemerkenswert, weil OpenSSL auch im Verteidigungsdepartement der USA weit verbreitet ist. Selbst die Cybermacht USA war nicht in der Lage, eine zentrale kryptografische Komponente ausreichend zu sichern.
Für ein kleines Land wie die Schweiz ist es volkswirtschaftlich fast unmöglich, alle Software-Bestandteile eines modernen Computerprogramms auf Schwachstellen zu untersuchen. Millionen von Zeilen Quellcode in Firmware, Betriebssystem und Applikation müssten analysiert werden, während sich kritische Fehler auch als winzige Details innerhalb einer Zeile verstecken können. Selbst wenn wir das tun würden: Es ist völlig ausgeschlossen, dass wir alle Fehler finden würden. Zumal manche Probleme gar nicht im Quellcode ersichtlich sind, sondern erst in der Konfiguration oder im Zusammenspiel von Komponenten entstehen.
Administratoren können immer manipulieren
Wenn Software auf einem Computer installiert und irgendwann auch aktualisiert werden soll, muss jemand die entsprechenden Rechte dazu haben. Es ist jedoch schwierig, diese Person daran zu hindern, eine andere Software als die dafür vorgesehene zu installieren. Hier können gewisse Hindernisse gegen Manipulation implementiert werden wie etwa ein Mehraugenprinzip oder umfangreiche automatische Dokumentation aller Handlungen in Form von Log-Dateien. Allerdings können viele solcher Mechanismen von einem dedizierten Angreifer ausgeschaltet oder umgangen werden. Es ist fraglich, ob man ein System bauen kann, sodass man nicht mehr von einer Bedrohung durch einzelne oder kleinere Gruppen von bösartigen oder erpressten Administratoren ausgehen müsste. Spätestens wenn jemand physischen Zugriff auf die zugrundeliegende Hardware hat, können prinzipiell alle Sicherheitsmechanismen einer Software ausgehebelt werden.
Mechanischer Souverän
Es ist anzunehmen, dass der Anteil eines elektronischen Stimmkanals stetig wachsen würde. Zumindest dann, wenn die Versprechen bezüglich dessen Bequemlichkeit eingehalten würden.
Damit bestimmt letztlich eine Software über unsere Verfassung und über die Besetzung des Parlaments. Indirekt oder direkt bestimmt die Software unsere Bundesräte, Regierungsräte und Richter.
Zivilisatorische Währung des Vertrauens
Selbst wenn ein E-Voting System in technischer Hinsicht vertrauenswürdig wäre: E-Voting Systeme mit Stimmgeheimnis sind so komplex, dass sie kaum jemand versteht. Einzelpersonen kennen sich vielleicht mit Kryptografie aus. Andere können Assembler-Code lesen oder mit Schaltplänen von Mikrochips etwas anfangen. Ernsthaft zu behaupten, ein E-Voting System ganz zu verstehen, wäre ähnlich absurd wie die Behauptung, einen Computer ganz zu verstehen.
Nun ist die Mehrheit unserer Gesellschaft weder Computerwissenschaftler noch Mathematiker, macht sich also nicht die geringsten Illusionen über ihr Verständnis eines E-Voting Systems. Mit Abstimmungsergebnissen verhält es sich aber ähnlich wie mit Währungen: Gültig ist, was geglaubt wird. Wenn genügend grosse Teile der Bevölkerung Zweifel an Abstimmungsergebnissen bekommen, sei es auch ungerechtfertigt und durch billige Propaganda geschürt, dann zerfällt unsere demokratische Währung und damit würde die dünne Schicht der Zivilisation zu bröckeln beginnen.
Beschränkter Nutzen
Abstimmen für Auslandschweizer
Es gibt Auslandschweizer in Regionen mit unzuverlässiger Briefpost. Mit den aktuellen E-Voting Systemen könnte einer von zwei Briefwegen eingespart werden und dadurch objektiv die Wahrscheinlichkeit erhöht werden, dass die Stimmen von Auslandschweizern rechtzeitig eintreffen. Die Rede ist von 700’000 Auslandschweizern. Viele davon leben aber in Ländern mit funktionierender Briefpost, sind also nicht auf E-Voting angewiesen. Wie gross die Anzahl der stimmberechtigten Auslandschweizer ist, die erst dank E-Voting abstimmen könnten, entzieht sich meiner Kenntnis.
Barrierefreie Abstimmungen
Menschen mit Behinderungen profitieren teilweise von E-Voting. Allerdings können die Informatikmittel von Menschen mit schweren Behinderungen auch vergleichsweise einfach angegriffen werden, etwa um das Stimmgeheimnis zu brechen.
Erhöhung der Stimmbeteiligung
Die Erhöhung der Stimmbeteiligung ist eine hin und wieder geäusserte Halbwahrheit. E-Voting erhöht die Stimmbeteiligung höchstens unwesentlich.
Selbst wenn die Stimmbeteiligung tatsächlich erhöht würde: Wer zu faul ist für die Abstimmung per Briefpost, der sollte vielleicht besser gar nicht abstimmen.
Der anstrengende und produktive Teil des demokratischen Prozesses ist die Meinungsbildung durch Recherche und Diskussion. Der effektive Abstimmungsprozess dürfte kaum noch ins Gewicht fallen. In anderen Ländern stehen Menschen Schlage für die Möglichkeit der politischen Mitsprache. Hier stehen Menschen Schlage für ein iPhone. Die erste App darauf muss nicht Herz und Hirn unserer Gesellschaft steuern. Unsere Ahnen haben harte Auseinandersetzungen gefochten für ihr Stimmrecht. Wer das nicht zu schätzen weiss, dem schulden wir nichts.
Wir schulden es hingegen der Stabilität unserer Gesellschaft, dass wir unsere Mitbürger wieder zu mehr politischem Engagement anhalten. Dies beginnt nicht mit der eigentlichen Abstimmung, sondern mit der inhaltlichen Auseinandersetzung – und dort müssen wir primär ansetzen.
Weniger ungültige Stimmen
Ein E-Voting System hat tatsächlich das Potential, die Anzahl der ungültigen Stimmen drastisch oder sogar bis auf Null zu senken.
Angeblich entstehen in der Briefwahl die meisten ungültigen Stimmen, weil Personen die Stimmzettel direkt in das Antwort-Couvert neben den Stimmrechtsausweis legen und nicht in das innere Couvert, wo das Stimmgeheimnis geschützt sein sollte. Es ist eine seltsame Vorstellung, dass es wahrscheinlich Personen gibt, die bei jeder Abstimmung brav das Abstimmungscouvert einschicken und doch noch nie eine gültige Stimme abgegeben haben. Diesen Personen sollte man endlich die Unterlagen retournieren mit einem grossen «Fail»-Kleber darauf und einer Anleitung als Beilage. Aber das geht angeblich nicht, … weil … Gründe, Stimmgeheimnis, Mimimi und so. Wir können einen Tunnel quer durch die Alpen realisieren, aber unsere Mitbürger über die Ungültigkeit ihrer Stimme zu informieren, das soll angeblich unmöglich sein.
Hier wurde das passende Problem für eine Lösung gefunden.
Visionäres E-Voting
Es ist ziemlich offensichtlich: E-Voting ist eine bekloppte Idee. Ein enormes Risiko mit überschaubarem Nutzen und einigermassen hohen Kosten.
Ungefähr so bekloppt, wie mit drei Nussschalen nach Westen in den Atlantik zu segeln auf der Suche nach Indien, das, wie allgemein bekannt ist, im Osten liegt.
Ungefähr so bescheuert, wie mit einer Rakete zum Mond zu fliegen. Ein Ding zu konstruieren, das voraussichtlich ein Vermögen kosten wird, ziemlich unsicher sein dürfte und einen recht beschränkten Nutzen erbringt. Legendär ist auf Anhieb nur der Lärm beim Start.
Wollen wir nun Kolumbus und seine Mannschaft vor dem letzten Ablegen in Teneriffa zurückpfeifen, mit Schimpf, Schande und Hohn? Sollen wir nun den Start einer angeblich fast flugfertigen Mondrakete abblasen, nachdem es zu Unfällen gekommen ist?
Vielleicht sollten wir eher sicherstellen, dass nicht, wie im April 2018 angedacht, ein grosser Teil der Bevölkerung mit an Bord geht. Das Risiko ist mit einer beschränkten Gruppe von Pionieren vertretbar.
Briefwahl ist angezählt
In den früheren Jahren der Briefwahl hat der Pöstler im Dorf gelebt und lediglich die Stimmcouverts zum Gemeindehaus transportiert. Manipulieren hätte er schon damals können, z.B. indem er die Stimmcouverts von bestimmten Parteigängern entsorgt. Das Risiko, dabei aufzufliegen, war aber nicht unerheblich und hätte im direkten sozialen Umfeld Konsequenzen gehabt. Eine nationale Abstimmung hätte auch eine Gruppe von Pöstlern kaum kippen können.
Heutige Briefzentren (https://www.post.ch/de/ueber-uns/wissenswertes-post/die-post-erleben/impressionen-briefzentrum) haben mit dieser romantischen Vorstellung von kleinen Dörfern nichts mehr gemein. Briefe werden in grossen Briefzentren gesammelt, die Adressen werden von Computern gelesen, die Briefe werden computergesteuert über komplexe Förderanlagen sortiert. Wer sich für entsprechende Dienstleistungen anmeldet, kann Briefe von der Post sogar automatisiert öffnen, scannen und elektronisch zustellen lassen. Die Wege von Briefen werden heute von Computern gesteuert, sehr ähnlich wie Datenpakete im Internet geroutet werden. Diese Digitalisierung wird in allen wünschenswerten Szenarien nicht rückgängig gemacht werden, sondern sie wird sich weiter akzentuieren. Maschinen zu bauen, die gefälschte Stimmzettel mit verschiedenen Schriftbildern versehen, dürfte nicht ganz trivial sein, ist technisch aber zweifelsohne machbar. Maschinen, die Briefe wieder zukleben, existieren schon lange. Insofern könnte prinzipiell eine Gruppe von Verschwörern bereits heute in einem Briefzentrum Stimmen in grossem Ausmass manipulieren.
Es ist absehbar, dass die Grenze zwischen physischen Briefen und digitalen Datenpaketen in Zukunft noch weiter verschwimmen wird. Gemessen an den Anforderungen von E-Voting ist das Datenpaket «Abstimmungscouvert» lachhaft unsicher. Die Verschlüsselung besteht aus einem grauen Umschlag. Die Authentisierung besteht aus einer Unterschrift, die nicht kontrolliert wird, geschweige denn fälschungssicher wäre. Die Unterschrift ist nur sehr locker über ein Couvert mit der eigentlichen Stimme verknüpft, von einer dem digitalen Zeitalter würdigen Integritätsprüfung kann daher keine Rede sein.
Würden wir jetzt – nach der Diskussion um E-Voting – über die Einführung der Briefwahl diskutieren: Sie wäre hoffentlich chancenlos.
Mit Blick auf die Zukunft, sei es in zehn, zwanzig oder auch mehr Jahren, müssen wir nach Alternativen zur Briefwahl Ausschau halten. Die Entwicklung eines E-Voting-Systems ist komplex und dauert deshalb Jahre. Wir können damit nicht warten, bis wir es effektiv benötigen. Es hängt auch zu viel an einem solchen System, um es kurzfristig irgendwo einzukaufen. Zu gross wäre das Risiko, dass ein kommerzielles System Sicherheitslücken oder Hintertüren aufweist.
Die Urnenwahl profitiert
Nun haben wir noch immer die vermeintlich sichere Urnenwahl. Doch auch hier täuscht sich, wer von einem «sicheren und transparenten» Verfahren ausgeht. Im Gegenteil: Von Transparenz kann keine Rede sein. Es scheint derzeit kein Inventar vorhanden zu sein darüber, wo welche elektronischen Ergebnisermittlungsverfahren eingesetzt werden. Ebenfalls im Dunkeln liegt die Frage nach der Sicherheit von Stimmregistern. Klar ist lediglich, dass es einen regelrechten Zoo von interessanten bis seltsamen Konstrukten im Schweizer Abstimmungsmarkt gibt. «Speicherung sämtlicher Daten auf unserem zentralen Rechnersystem» , «Redundanzfreie zentrale Datenhaltung» oder «Integriertes E-Voting» werden als Eigenschaften angepriesen von Softwarelösungen, die im Rahmen der bisherigen Abstimmungskanäle eingesetzt werden. Manche Anbieter von Softwarelösungen im Abstimmungssektor sehen keinen grossen Bedarf für Sicherheitsprüfungen, weil ihre Software «offline» arbeitet. Eine E-Counting Software soll sogar gleich selber vorschreiben, welche Stimmzettel zur Plausibilisierung von Hand nachgezählt werden müssen – man finde den Fehler.
Die Digitalisierung hat die Urnenwahl schon vor Jahren eingeholt und über damit verbundene Risiken wird schon länger gesprochen oder geschrieben. Es macht aber nicht den Eindruck, als wäre man sich den damit verbundenen Risiken auch tatsächlich bewusst. In mindestens einem Kanton wurden erst im Kontext von E-Voting Mittel in Aussicht gestellt, um auch die elektronischen Ergebnisermittlungsverfahren einer Prüfung zu unterziehen.
Die Diskussion um E-Voting offenbart, wie schwierig es ist, die Sicherheit von Abstimmungen und Wahlen im digitalen Zeitalter sicherzustellen. Akzentuiert werden diese Schwierigkeiten von der offensichtlichen Gleichgültigkeit breiter Bevölkerungsteile. Die Zeiten, wo alle Parteien mit Argusaugen die Integrität von Abstimmungen überwacht haben, sind längst vorbei.
E-Voting legt eine neue Messlatte vor, die dem neuen Zeitalter am ehesten gerecht wird. Und kann damit einen wichtigen Beitrag leisten hinsichtlich der klassischen Abstimmungskanäle, die längst nicht mehr einfach «sicher und transparent» sind.
Sicher genug ist möglich
Ein absolut sicheres E-Voting zu bauen, ist unmöglich. Das wurde auch von glühenden Befürwortern immer anerkannt. Diese Feststellung taugt allerdings wenig als praktische Handlungsanweisung, weil sie auf alle Errungenschaften der Menschheit zutrifft. Bei E-Voting muss jedoch immer das enorme Risiko im Auge behalten werden. Dieses Risiko ist eher mit demjenigen eines AKW zu vergleichen als mit demjenigen eines Passagierflugzeuges. Es ist technisch möglich, ein E-Voting zu bauen, das sicher genug ist. Bis dahin ist es aber noch ein weiter Weg. Dieser Weg braucht Zeit und Geld. Gut möglich, dass man unter dem Druck kommerzieller Interessen beides gerne gespart hätte.
Fukushima-Politik
Jahrelang konnten viele Kantone die Einführung von E-Voting kaum abwarten. Dann gab es wenige Beispiele von tatsächlichen Sicherheitsproblemen, gepaart mit etwas Medien-Hype, um den Wind merklich zu drehen.
Hier lassen sich Parallelen zu dem Geschehen rund um das Reaktorunglück in Fukushima ziehen. Die Atomkraft war in der Schweiz felsenfest verankert – konnte man denken. Ein einziges Ereignis, von dem man bestens wusste, dass es grundsätzlich eintreten kann, hat durch einen Medien-Hype zu einer erratischen Kehrtwende in der Schweizer Energiepolitik geführt. Wer denkt, dass deshalb die Schweizer AKW sicher geworden wären, kann sich die Berichte von Kurt Marti zu Gemüte führen (https://www.infosperber.ch/Umwelt/AKW-Beznau-Hochwasser-Risiko-Axpo-Edob). Noch immer sind unsere AKW hoffnungslos unterversichert, teilweise unglaublich veraltet und noch immer besteht kein halbwegs vernünftiger Plan, woher wir in Zukunft unsere Energie beziehen sollen. Ein kurzer Hype wurde genutzt, um eine grosse Weiche umzulegen. Wichtige damit verbundene Weichen wurden und werden weiterhin ignoriert. Eine Blindfahrt mit zufallsbedingten Steuerimpulsen.
Beim E-Voting droht ein ähnliches Szenario. Plötzlich zeigen sich prominente Befürworter «erstaunt» darüber, dass in tausenden von Zeilen Quellcode auch ein paar Fehler auftreten können. Kaum dreht sich der Wind nur leicht, kippen Kantonsparlamente. Derzeit scheint es nicht gänzlich unmöglich, dass E-Voting in der Schweiz für Jahre zum Erliegen kommt.
In einem solchen Szenario würde das Thema «Sicherheit von Wahlen und Abstimmungen» als weitgehend erledigt betrachtet. Es würde weiter an illustren Applikationen gebastelt, die zwar ähnlich mächtig sind wie ein E-Voting, aber eben ohne jegliche öffentliche Diskussion bezüglich deren Transparenz oder Sicherheit. Und irgendwann in der Zukunft würde man plötzlich feststellen, dass man E-Voting doch ganz gut gebrauchen könnte.
Es wäre falsch, wenn die Schweiz nach bald zwanzig Jahren Entwicklungsarbeit E-Voting kurzerhand einstellen würde. Noch schlimmer wäre es, wenn E-Voting im heutigen Zustand als gleichberechtigter Stimmkanal anerkannt würde. Die E-Voting Systeme haben einen langen Weg hinter sich und wurden immer weiter verbessert – sie sind aber noch lange nicht transparent und solide genug für den unbeschränkten Einsatz. Sie sind gut genug, um einen beschränkten Teil der Stimmen zu verarbeiten, beispielsweise diejenigen von Auslandschweizern und Menschen mit Behinderungen. Bei der Frage nach einem sinnvollen Anteil von E-Voting dürfen kommerzielle Interessen von Systemanbietern keine Rolle spielen.
Zurück zum Start
Zurück ins Jahr 2000 – das Parlament hat eben die Entwicklung von E-Voting in Auftrag gegeben. Hat es das?
In der entsprechenden Motion war die Rede von «Chancen und Risiken der E-Demokratie». (https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20003190)
Im Bericht des Bundesrates vom Januar 2002 (http://www.admin.ch/ch/d/ff/2002/645.pdf) steht dann bereits «Mit diesem Bericht kommt der Bundesrat einem Auftrag der Richtlinienmotion «Nutzung der Informationstechnologie für die direkte Demokratie» nach, die einen vertieften Bericht über die Vor- und Nachteile eines Vote électronique verlangt.».
Dies ist ein seltsamer Sprung. Die Motion scheint eher eine Auslegeordnung verlangt zu haben über diverse Möglichkeiten, um digitale Technologien zugunsten der Demokratie nutzbar zu machen. Plötzlich wurde die Sicht auf E-Voting verengt. In der Folge wurden grosse Summen in E-Voting investiert und es entsteht der Eindruck, dass mindestens ebenso wichtige Themen wie die demokratische Diskussionskultur im digitalen Zeitalter vernachlässigt wurden.
Dabei gibt es in diesem Bereich sehr interessante Projekte, die eine vertiefte Betrachtung verdienen würden wie etwa Liquid Feedback. Besonders erwähnenswert sind Konzepte zu «Delegated Voting» (https://en.wikipedia.org/wiki/Delegative_democracy) oder «Liquid Democracy».
Es wäre wünschenswert, den Blickwinkel wieder zu öffnen für die weite Welt der E-Demokratie auch neben E-Voting. Ein guter Anfang wäre ein Diskussionsforum auf Parlament.ch.
In einem solchen Forum könnte neben anderen politischen Themen auch über weitere Möglichkeiten der Digitalisierung in zivilisiertem Rahmen gestritten werden. Twitter und andere soziale Medien taugen dafür nicht. Zu fragmentiert und zu kurz sind dafür die Diskussionen. Das suchtartige Sammeln von Likes innerhalb der jeweiligen Filterblasen trägt nicht eben zur Sachlichkeit bei.
Zusammengefasst
E-Voting heute als vollwertigen Stimmkanal zu etablieren, wäre gefährlich.
E-Voting ganz einzustellen, wäre ein der Schweiz unwürdiger Schnellschuss.
Die digitale demokratische Diskussion muss zusammengeführt und versachlicht werden. Ein offizielles digitales Diskussionforum wäre ein erster, sinnvoller Schritt.
Nachtrag
Ich habe keine persönlichen kommerziellen Interessen an E-Voting. Wenn man nach reiflicher Überlegung zum Schluss kommt, dass E-Voting doch zu teuer wird im Verhältnis zum Nutzen, dann kann ich gut damit leben. Es darf aber nicht sein, dass wir politische Weichenstellungen basierend auf kurzfristigen medialen Hypes tätigen.
Klar ist für mich, dass die Briefwahl langfristig keine Zukunft hat und dass man die Urnenwahl wieder härten muss. Letztere haben wir zu lange einfach als sicher genug betrachtet und vernachlässigt. So wie unsere AKW.